اطلاعیه امنیتی
1403-11-06
بهرهبرداری از آسیب پذیری Magic Packet در روترهای Juniper
بر اساس گزارشهای امنیتی اخیر، یک درِ پشتی (Backdoor) سفارشی شناسایی شده است که از ویژگی موسوم به «بسته جادویی» (Magic Packet) برای نفوذ و کنترل دستگاههای لینوکسی استفاده میکند. بسته جادویی معمولاً در پروتکل Wake-on-LAN به کار میرود و اجازه میدهد سیستم خاموش یا در حالت خواب، از راه دور روشن شود. اما هکرها با دستکاری این بسته و افزودن اطلاعات مخرب به آن، میتوانند یک کانال ارتباطی پنهان روی سیستم قربانی ایجاد کنند.
طراحی این بدافزار به گونهای است که ترافیک ورودی را رصد میکند و هر زمان یک بسته جادویی دستکاریشده دریافت نماید، فرآیند اجرای کد مخرب یا ایجاد دسترسی ریموت آغاز میشود. نتیجه این کار، شکلگیری یک راه نفوذ کاملاً مخفیانه است که حتی در لاگهای سیستمی نیز چندان مشهود نیست؛ زیرا این بستهها از دید بسیاری از ابزارهای نظارتی پنهان میمانند. مهاجمان میتوانند با استفاده از این روش، عملیات پیشرفتهای مانند نصب ابزارهای اضافی، استخراج یا تغییر دادهها و حتی اجرای حملات زنجیرهای گستردهتر را انجام دهند.
گزارشها حاکی از آن است که این روش در حملات هدفمند علیه اهداف خاص به کار گرفته میشود و احتمال میرود گروههای تهدید پیشرفته (APT) یا هکرهای حرفهای پشت ماجرا باشند. آنها ابتدا دسترسی اولیه را از راههایی مانند فیشینگ یا سوءاستفاده از باگهای نرمافزاری به دست میآورند و سپس با کاشت این درِ پشتی سفارشی، امکان دسترسی بلندمدت و مخفیانه را برای خود فراهم میکنند. حتی در صورتی که سیستم قربانی راهاندازی مجدد شود، وجود این ماژول مخفی هنوز حفظ میشود و دوباره فعال میگردد.
کارشناسان امنیتی توصیه میکنند مدیران سیستمها به چند نکته حیاتی توجه کنند: نخست، غیرفعالسازی قابلیت Wake-on-LAN در موارد غیرضروری یا لااقل محدودکردن آن به یک محیط امن. دوم، پایش و تحلیل رفتار ترافیکهای ورودی و خروجی سرورها یا دستگاههای لینوکسی، بهویژه در پورتهای مرتبط با شبکه داخلی. سوم، اطمینان از بهروزرسانی کرنل و بستههای امنیتی سیستمعامل لینوکس و همینطور نرمافزارهای جانبی. سرانجام، استفاده از سامانههای تشخیص نفوذ (IDS/IPS) و پیکربندی دقیق قوانین فایروال برای جلوگیری از دریافت بستههای ناشناس یا مشکوک.
بهروزرسانی مداوم زیرساختهای امنیتی و راهکارهای مقابله با تهدیدات پیچیده، کلید اساسی در پیشگیری از این نوع حملات است. همچنین بهتر است کارشناسان امنیت، بررسیهای دورهای بر لاگها و پیکربندیهای شبکه داشته باشند تا اگر نشانههای بستههای جادویی دستکاریشده یا رفتارهای غیرعادی مشهود شد، در اسرع وقت اقدام لازم انجام شود.